Critical RCE and Server Takeover Threat Discovered in SAP NetWeaver (CVE-2025–31324)
Criminal IP · Follow
3 min read · May 30, 2025
52
Listen
Share
Press enter or click to view image in full size
Critical RCE and Server Takeover Threat Discovered in SAP NetWeaver
SAP NetWeaver漏洞CVE-2025–31324近期获得了最高的CVSS评分10.0。该无限制文件上传漏洞可被利用来劫持服务器并执行远程代码,多个行业已报告大规模滥用案例。本文概述了CVE-2025–31324的安全风险,并介绍了基于网络威胁情报(CTI)的缓解策略。
CVE-2025–31324: A Critical Vulnerability in SAP NetWeaver
CVE-2025–31324是SAP NetWeaver中的一个严重漏洞,允许未认证攻击者在暴露的实例上执行任意代码,可能导致系统完全失陷。该漏洞主要影响启用了Visual Composer且未安装安全补丁的VCFRAMEWORK 7.X版本。由于存在远程代码执行(RCE)风险以及可能向主机系统注入恶意软件,该漏洞获得了10.0的CVSS评分。
Get Criminal IP’s stories in your inbox
Join Medium for free to get updates from this writer.
Subscribe
通过特制的POST请求,攻击者可以上传恶意文件(如JSP webshell)并执行任意系统命令。已有数家全球公司报告了被利用的 incidents。尽管SAP于5月13日发布了补丁,但仍有大量服务器暴露在CVE-2025–31324的风险中。各组织应立即验证其SAP NetWeaver系统的版本和安全状态,并采取紧急行动。
CTI-Based Detection of SAP NetWeaver Vulnerability Exposure
Criminal IP可帮助检测受CVE-2025–31324或相关漏洞影响的SAP NetWeaver系统。例如,以下查询可定位公开可访问的SAP NetWeaver应用服务器。
Criminal IP Search Query:
product: sap netweaver application server
www.criminalip.io/asset/searc…
Press enter or click to view image in full size
使用Criminal IP进行的扫描显示,有2,955台SAP NetWeaver服务器暴露在互联网上。在结果中,部分服务器返回了HTTP状态码200和401。SAP NetWeaver通常用于核心企业系统,如人力资源、财务和供应链。
在安全配置下,敏感或仅限内部访问的URL应返回以下响应之一:
401 Unauthorized:需要认证403 Forbidden:拒绝访问404 Not Found:路径隐藏
200状态码表示该端点无需认证即可访问,并可能接受文件上传。特别值得注意的是,其中一个结果显示默认的SAP NetWeaver端口50000是开放的,且系统运行的是易受CVE-2025–31324攻击的7.53版本。如果在此条件下SAP Visual Composer被启用,则该服务器可通过CVE-2025–31324被利用。
Press enter or click to view image in full size
该服务器被确认存在一个自2017年以来未修补的漏洞,并且很可能成为活跃攻击的目标。建议立即采取安全措施。其外部暴露带来了认证绕过、远程代码执行、信息泄露和权限提升的重大风险。
Preventing Exploitation of CVE-2025–31324
CVE-2025–31324是一个严重漏洞,允许攻击者绕过认证、上传恶意JSP文件并执行远程代码。为防止该漏洞被利用,需要采用多层安全响应策略,不仅包括技术补丁,还应整合威胁情报(CTI)和攻击面管理(ASM)。
- 应用官方SAP安全补丁,如非必要则禁用Visual Composer。
- 通过SAP Web Dispatcher或Web应用防火墙(WAF)阻止未经授权的POST请求。
- 使用威胁情报工具检测和响应漏洞。
- 利用攻击面管理解决方案监控服务器的外部暴露情况。
Conclusion
SAP NetWeaver是企业核心运营的关键基础设施。其安全漏洞不仅限于系统缺陷,还可能导致重大业务风险。CVE-2025–31324是一个严重漏洞,可实现认证绕过、文件上传和远程代码执行,且已有实际利用案例报告。仅应用补丁是不够的。必须采用结合CTI和ASM的多层防御策略,持续监控外部暴露情况并主动检测攻击指标,这一点至关重要。
与此相关,您可以参考 CVE-2025–32433:Erlang/OTP SSH中的严重RCE漏洞。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEcot6XSwtlxuJCHOQzH/s/lWmDXDO7N+SUaT+lSsQrFRk6+L8nqZQltVPLL1tTD3taeq1eJdVKhJBPtF+4mm62LLJP5DCEfdirkwUAJqqu2VNEFwciiNH1vIo4PH7kuCqRbSe8bIjW0KJjOgVofpbE
